Skrytí privátního klíče ve WireGuardu pro iOS

[messagebus]

Ahoj. Asi jsem slepy, ale nikde nevidim nic krome man pages, ktere jsou mi ale u ios klienta houby platny. Jak treba nastavim, aby mi ios wireguard nezobrazoval veskere svoje nastaveni vcetne klicu? (clovek s fotakem, ktery se mi na vterinu dostane k mobilu, pak muze levou zadni zkopirovat vse, co je treba k naklonovani)

Dik

[Reklama]

[Petr Krčmář]

Každý klient WireGuardu, co jsem viděl, má možnost vyzradit privátní klíč. Spíš je podstatnější nepoušět nikoho k odemčenému telefonu, kde bude jistě spousta dalších citlivých informací.

[messagebus]

To jsou rady jak od Marie Antoinetty. Jak asi budu kontrolovat, ze ucetni nepujcuje mobil? Navic nechci vyzrazovt nejen soukromy klic, ale ani verejny serverovy, ani serverovou IP, port atd. Neexistuje zadny duvod, proc by mely byt vzdycky videt. Z receneho vyplyva, ze minumalne mobilni wireguard neni vhodny do firemniho prostredi.

[RDa]

Nehledal bych problem ve WG ale v IOS. Ty hracky fakt nejsou vhodne do firemniho prostredi, kdyz jediny ucet co tam je, je toho uzivatele.. a ten ma pak pristup ke vsemu. Takova falesna radost z toho, ze si myslite ze je telefon vas.. no neni :)

Kdyz si dam WG pod jiny account a spravne nastavime prava k souborum s nastvenim a klici.. tak si to nikdo s nizsimi pravy prece neprecte. A kdyz mate na stroji roota, tak je pozde.

Jste paranoik co se snazi pouzivat nevhodne nastroje.. tak si to uzijte ,)

[🇺🇦 GPU]

A máte ty telefony alespoň v nějakém MDM? To pak můžete alespoň něco vynutit, třeba nainstalovat aplikaci Wireguard bez potřeby osobního účtu uživatele.

Podívejte se na to ale i z druhé strany, kdy pokud nemůže uživatel WG profil zkontrolovat, jak bude vědít, že se připojuje ke firemnímu serveru a ne někam do tramtárie?

[Reklama]

[messagebus]

Nehledal bych problem ve WG ale v IOS. Ty hracky fakt nejsou vhodne do firemniho prostredi, kdyz jediny ucet co tam je, je toho uzivatele.. a ten ma pak pristup ke vsemu. Takova falesna radost z toho, ze si myslite ze je telefon vas.. no neni

Kdyz si dam WG pod jiny account a spravne nastavime prava k souborum s nastvenim a klici.. tak si to nikdo s nizsimi pravy prece neprecte. A kdyz mate na stroji roota, tak je pozde.

Jste paranoik co se snazi pouzivat nevhodne nastroje.. tak si to uzijte ,)

Ty udaje zobrazuje aplikace wireguard, nic jineho. Staci z aplikace wireguard odebrat (!!!) odkaz na dalsi stranku aplikace s temito udaji (a moznost exportovat konfiguraci) a bylo by to v poradku.

Ja chapu, ze to co chci, neznamena konec starosti s bezpecnosti, ale tohle? Stacilo by pridat do konfiguracniho souboru neco jako debug = yes/no a v pripade "no" zobrazovat _mene_ stranek a moznosti.

[messagebus]

A máte ty telefony alespoň v nějakém MDM? To pak můžete alespoň něco vynutit, třeba nainstalovat aplikaci Wireguard bez potřeby osobního účtu uživatele.

Ja to jen testuji pro firmu s par lidmi. MS365 tam nemaji.

Podívejte se na to ale i z druhé strany, kdy pokud nemůže uživatel WG profil zkontrolovat, jak bude vědít, že se připojuje ke firemnímu serveru a ne někam do tramtárie?

Jakmile bezi VPN, pripojuje se spravne.

[RDa]

Jakmile bezi VPN, pripojuje se spravne.

Na tohle VPN nepotrebujete - co kdyz je v tom WG adresa a klick MITM serveru, ktery se pak pripojuje na vas system s temi uloupenymi klici a adresou?

Souhlasim ze uzivatel ma mit moznost si overit, kam se to vlastne pripojuje a jakymi klicemi (zas na to slouzi hashovaci funkce.. viz ty hlasky ze ssh kdyz jdete poprve na novy server).

Ty udaje zobrazuje aplikace wireguard, nic jineho. Staci z aplikace wireguard odebrat (!!!) odkaz na dalsi stranku aplikace s temito udaji (a moznost exportovat konfiguraci) a bylo by to v poradku.

Pokud je WG IOS appka opensource, tak ji muzes zeditovat do sve privatni verze, a rozjet nejaky testflight na svem devel accountu - jestli nemas moc tech uzivatelu tak to v tomto test rezimu muzes provozovat jakoze produkcne. Bude te to ale stat nejaky peniz za Apple developer account.

[messagebus]

Na tohle VPN nepotrebujete - co kdyz je v tom WG adresa a klick MITM serveru, ktery se pak pripojuje na vas system s temi uloupenymi klici a adresou?

Souhlasim ze uzivatel ma mit moznost si overit, kam se to vlastne pripojuje a jakymi klicemi (zas na to slouzi hashovaci funkce.. viz ty hlasky ze ssh kdyz jdete poprve na novy server).

Ucetni si urcite rada zapamatuje klice, hashe, port i nazev serveru a bude trikrat za minutu kontrolovat, kam se pripojuje wireguard. Je patek a prave jste se vratil ze sklizne konopi, ne?

Pokud je WG IOS appka opensource, tak ji muzes zeditovat do sve privatni verze, a rozjet nejaky testflight na svem devel accountu - jestli nemas moc tech uzivatelu tak to v tomto test rezimu muzes provozovat jakoze produkcne. Bude te to ale stat nejaky peniz za Apple developer account.

Nemam v zivote vetsi touhu nez udrzovat appku a platit 99 USD rocne applu pro firmu ktera chtela neco jednoducheho

[🇺🇦 GPU]

Když se firma rozhodovala jaká mobilní zařízení pořídit, měla být správa zařízení jedním z požadavků. Stejně tak, když volba padla na Wireguard, jako VPN řešení.

Problém není ve Wireguardu, ale dokážu si představit, že by vývojáři mohli implementovat přístup do nastavení aplikace chráněný heslem.

Tahle to dopadá, když se vybere něco jednoduchého, a pak se to složitě musí lámat přes koleno.

Pokud je konfigurace uživateli přístupná, musí mít možnost ji o proti něčemu ověřit. Vy už automaticky předpokládáte, že uživatel telefon dá k dispozici někomu, kdo může mít nekalé umysly. Musíte tedy počítat s tím, že někdo původní konfiguraci smaže a nahradí svou. Uživatel, který má jen tlačítko Připojit/Odpojit, toto nemá šanci poznat.

[messagebus]

Když se firma rozhodovala jaká mobilní zařízení pořídit, měla být správa zařízení jedním z požadavků. Stejně tak, když volba padla na Wireguard, jako VPN řešení.

Problém není ve Wireguardu, ale dokážu si představit, že by vývojáři mohli implementovat přístup do nastavení aplikace chráněný heslem.

Tahle to dopadá, když se vybere něco jednoduchého, a pak se to složitě musí lámat přes koleno.

Pokud je konfigurace uživateli přístupná, musí mít možnost ji o proti něčemu ověřit. Vy už automaticky předpokládáte, že uživatel telefon dá k dispozici někomu, kdo může mít nekalé umysly. Musíte tedy počítat s tím, že někdo původní konfiguraci smaže a nahradí svou. Uživatel, který má jen tlačítko Připojit/Odpojit, toto nemá šanci poznat.

Prectete si puvodni otazku a nechte si od cesty tyhle hrabeci rady.

PS Kdyby WG aplikace nezobrazovala vsechno podstatne, k cemu by byla nejaka jina nahrana konfigurace WG? BTW Smazani i nahrani konfigurace VPN vyzaduje potvrzeni bezpecnostnim kodem - to uz zpozorni i ucetni. A ano, vsechno lze ukrast, ohnout i zfalsovat, ale stav, kdy lze trivialne nepozorovane zcizit vsechny klice povazuji za fatalni.

PPS Kolikrat denne kontrolujete, zda vas mobil pouziva spravny DNS server?

[_Jenda]

Nemam v zivote vetsi touhu nez udrzovat appku a platit 99 USD rocne applu pro firmu ktera chtela neco jednoducheho

No ale to máš za to že chceš současně používat ekosystém s příšerným lockdownem (a chránit pomocí něj klíče wireguardu) a současně si do něj chceš dodělávat vlastní funkce, na které jsme zvyklí z otevřenějších systémů.

Jinak pro ostatní, já ho chápu, jemu nejde o nějakou absolutní ochranu (tj. třeba na Androidu by byl OK s tím že to jde získat přes ADB), ale prostě o to, aby to nešlo zobrazit na jedno kliknutí (pozn. tu aplikaci neznám, ale často bezpečnost UX i proti věcem co uživatel udělá omylem bývá tragédie).

[messagebus]

No ale to máš za to že chceš současně používat ekosystém s příšerným lockdownem (a chránit pomocí něj klíče wireguardu) a současně si do něj chceš dodělávat vlastní funkce, na které jsme zvyklí z otevřenějších systémů.

Ale ja nechci dodelavat vlastni funkce Jen me napadlo, ze mozna v konfiguracnim souboru bude volba, zda wireguard muze vyvrhnout vsechno podstatne uzivateli ci ne. Prislo mi to prirozene (ze ta volba tam bude), tak jsem se zeptal, to je cele.